WIK Diskussionsbeitrag
Total Page:16
File Type:pdf, Size:1020Kb
WIK Diskussionsbeitrag Nr. 462 Die wettbewerbliche Bedeutung von Single-Sign- On- bzw. Login-Diensten und ihre Relevanz für daten- basierte Geschäftsmodelle sowie den Datenschutz Autoren: Lukas Wiewiorra Andrea Liebe Serpil Taş Bad Honnef, Juni 2020 Impressum WIK Wissenschaftliches Institut für Infrastruktur und Kommunikationsdienste GmbH Rhöndorfer Str. 68 53604 Bad Honnef Deutschland Tel.: +49 2224 9225-0 Fax: +49 2224 9225-63 E-Mail: [email protected] www.wik.org Vertretungs- und zeichnungsberechtigte Personen Geschäftsführerin und Direktorin Dr. Cara Schwarz-Schilling Direktor Abteilungsleiter Post und Logistik Alex Kalevi Dieke Direktor Abteilungsleiter Netze und Kosten Dr. Thomas Plückebaum Direktor Abteilungsleiter Regulierung und Wettbewerb Dr. Bernd Sörries Leiter der Verwaltung Karl-Hubert Strüver Vorsitzende des Aufsichtsrates Dr. Daniela Brönstrup Handelsregister Amtsgericht Siegburg, HRB 7225 Steuer-Nr. 222/5751/0722 Umsatzsteueridentifikations-Nr. DE 123 383 795 In den vom WIK herausgegebenen Diskussionsbeiträgen erscheinen in loser Folge Auf- sätze und Vorträge von Mitarbeitern des Instituts sowie ausgewählte Zwischen- und Ab- schlussberichte von durchgeführten Forschungsprojekten. Mit der Herausgabe dieser Reihe bezweckt das WIK, über seine Tätigkeit zu informieren, Diskussionsanstöße zu geben, aber auch Anregungen von außen zu empfangen. Kritik und Kommentare sind deshalb jederzeit willkommen. Die in den verschiedenen Beiträgen zum Ausdruck kom- menden Ansichten geben ausschließlich die Meinung der jeweiligen Autoren wieder. WIK behält sich alle Rechte vor. Ohne ausdrückliche schriftliche Genehmigung des WIK ist es auch nicht gestattet, das Werk oder Teile daraus in irgendeiner Form (Fotokopie, Mikrofilm oder einem anderen Verfahren) zu vervielfältigen oder unter Verwendung elektronischer Systeme zu verarbeiten oder zu verbreiten. ISSN 1865-8997 Die wettbewerbliche Bedeutung von Single Sign-On- bzw. Login-Diensten I Inhaltsverzeichnis Abbildungsverzeichnis II Tabellenverzeichnis III Zusammenfassung V Summary VI 1 Einleitung 1 2 Digitale Identität 2 3 Anmeldeverfahren 3 3.1 Überblick und Funktionsweise 3 3.1.1 Passwörter 4 3.1.2 Passwort-Manager 4 3.1.3 Single Sign-On (SSO) 5 3.1.4 Biometrische Verfahren 6 4 Marktüberblick zu SSO-Systemen 8 4.1 Passwort-Manager 8 4.2 SSO-Dienste 9 5 Ökonomische Aspekte 12 6 Analyse der Nachfrageseite 15 6.1 Nutzung von verschiedenen Anmeldeverfahren 16 6.2 Nutzung von SSO-Diensten 22 6.3 Gründe für die Nutzung bzw. Nicht-Nutzung von SSO-Lösungen 24 6.4 Konvergenz digitaler Identitäten 27 6.5 Biometrische Authentifizierungsverfahren 28 7 Schlussfolgerungen & Ausblick 36 Literaturverzeichnis 38 Anhang: Befragungsmethodik 40 II Diskussionsbeitrag Nr. 462 Abbildungsverzeichnis Abbildung 3–1: Funktionsweise von Authentisierung & Authentifizierung 3 Abbildung 3–2: Protocol Flow von OAuth 2.0 5 Abbildung 4–1: Marktanteile von Social-Login-Anbietern 10 Abbildung 5–1: Shopify – One Click Social Login 12 Abbildung 6–1: Häufigkeit der Nutzung von Onlinediensten und/oder Webseiten, die eine Registrierung oder ein Login erfordern nach Geschlecht und Alter 15 Abbildung 6–2: Anzahl an genutzten Onlinediensten und Webseiten innerhalb einer Woche nach Geschlecht und Alter der Befragten 16 Abbildung 6–3: Anteil der Nutzer von Onlinediensten mit Registrierung je Art von Onlinedienst oder Webseite nach Geschlecht 17 Abbildung 6–4: Anteil der Nutzer von Onlinediensten mit Registrierung je Art von Onlinedienst oder Webseite nach Alter 18 Abbildung 6–5: Nutzung von Login-Typen für verschiedene Onlinedienste und Webseiten – Kommunikation und Entertainment 19 Abbildung 6–6: Nutzung von Login-Typen für verschiedene Onlinedienste und Webseiten – Banking, Einkauf und Buchung 20 Abbildung 6–7: Nutzung von Login-Typen für verschiedene Onlinedienste und Webseiten – Service-/Mitglieder- und sonstige Dienste 21 Abbildung 6–8: Nutzung von Login-Typen für verschiedene Onlinedienste und Webseiten – Service-/Mitglieder- und sonstige Dienste 22 Abbildung 6–9: Nutzung von Social-Login-Lösungen 23 Abbildung 6–10: Nutzung von Social-Login-Lösungen 24 Abbildung 6–11: Eigenschaften von Authentifizierungssystemen für Onlinedienste und Webseiten 25 Abbildung 6–12: Anforderungen an Authentifizierungssysteme für Onlinedienste und Webseiten 27 Abbildung 6–13: Anteil der Kenner von biometrischen Authentifizierungsverfahren nach Alter 29 Abbildung 6–14: Nutzung verschiedener biometrischer Authentifizierungsverfahren 30 Abbildung 6–15: Nutzung verschiedener biometrischer Authentifizierungsverfahren nach Anwendungsfällen 31 Abbildung 6–16: Potenzielle Einsatzmöglichkeiten verschiedener biometrischer Verfahren nach Anwendungsfällen 32 Abbildung 6–17: Assoziationen/Einschätzungen zu verschiedenen biometrischen Verfahren 33 Die wettbewerbliche Bedeutung von Single Sign-On- bzw. Login-Diensten III Tabellenverzeichnis Tabelle 4-1: Marktüberblick Passwort-Manager 9 Tabelle 4-2: Marktüberblick SSO-Dienste 9 Tabelle 4-3: Marktüberblick Social Logins 10 Tabelle 5-1: Merkmale sozialer Benutzerprofile 13 Tabelle A-1: Stichprobe und Grundgesamtheit – Verteilung 41 Die wettbewerbliche Bedeutung von Single-Sign-On- bzw. Login-Diensten V Zusammenfassung Das Anlegen eines Nutzerkontos ist mittlerweile bei vielen digitalen Diensten eine Grundvoraussetzung, um diese in vollem Umfang nutzen zu können. Nutzer sind daher mit der Herausforderung konfrontiert, alle Anmeldedaten der von ihnen genutzten digi- talen Dienste zu verwalten. Single-Sign-On(SSO)-Verfahren treten mit dem Versprechen an, die Anzahl der ver- schiedenen Zugangsdaten zu unterschiedlichen digitalen Diensten zu reduzieren und den Registrierungsprozess bei neuen Diensten zu vereinfachen. Andererseits können Nutzer technische Hilfsmittel verwenden, um die verschiedenen Anmeldedaten komfor- tabler zu verwalten und zentral zu speichern (z.B. Passwort-Manager). Die Analyse der Nachfrageseite zeigt, dass Konsumenten unabhängig von Alter und Geschlecht mehrheitlich bis zu 12 Onlinedienste in der Woche nutzen. Die Nachfrage nach SSO-Lösungen von Drittanbietern ist mit aktuell etwa 2% sehr gering. Am häufigs- ten werden die SSO-Dienste von digitalen Plattformprovidern (Social Logins) genutzt. Insbesondere Nutzer, die Wert auf eine Ve reinfachung des Anmeldeprozesses und eine komfortable Nutzung legen, ziehen Vorteile aus diesen Angeboten. Der Login via Facebook wird von knapp 60% der Social Login-Nutzer (ca. 7% der befragten Nutzer von Onlinediensten und Webseiten) zur Anmeldung bei Onlinediensten oder Webseiten genutzt. In der Regel verwenden die Befragten 1,2 Social Login-Dienste. Allerdings ist der Zweifel an der Sicherheit dieser Systeme für viele Konsumenten ein wichtiger Grund, sich bei Onlinediensten oder Webseiten nicht via Facebook, Google oder durch andere (soziale) Netzwerke anzumelden. Die verbundenen Dienstanbieter, die diese Anmeldeverfahren auf ihren Webseiten im- plementieren, profitieren davon, wenn sich ein Nutzer mit einem Social Login bei ihren Diensten anmeldet. Allerdings profitieren auch die Anbieter von SSO-Diensten von den Informationen, die durch die Nutzung auf verbundenen Diensten und Webseiten anfal- len. Insbesondere werbefinanzierte Plattformen, die Social Logins anbieten, zielen da- rauf ab, die Benutzerprofile ihrer Kunden mit Informationen anzureichern, die über ihre eigene Plattform nicht direkt erhoben bzw. beobachtet werden können. Dabei ist unklar, welche Informationen genau durch die Anbieter von Social Logins dauerhaft gespeichert werden. Während bestimmte Daten im Rahmen der technischen Bereitstellung der Funktionalität notwendigerweise übertragen werden müssen, können diese auch nach der Leistungserbringung vom Anbieter dauerhaft gespeichert und wei- ter verwendet werden. Darüber hinaus könnten auch Daten erhoben und dauerhaft ge- speichert werden, die zur Erbringung der Leistung nicht erforderlich sind. Wie im Fall des Like-Buttons (Facebook) ist daher zu vermuten, dass die Anbieter von Social Lo- gins nicht nur von der direkten Nutzung der Funktionalität profitieren, sondern bereits implizit von der Verbreitung der Funktionalität. VI Diskussionsbeitrag Nr. 462 Summary Creating a user account is a basic requirement for many digital services in order to be able to use them to their full extent. Users therefore face the challenge of managing the login data of all the digital services they use. Single Sign-On (SSO) services aim at reducing the number login data for different digi- tal services and simplifying the registration process for new services. On the other hand, users can use technical measures to manage the different login data more con- veniently and to store them centrally (e.g. password manager). The analysis of the demand side shows that the majority of consumers use up to 12 online services per week, regardless of age and gender. The demand for third-party SSO solutions is very low, currently around 2%. SSO services are most frequently used by digital platform providers (social logins). In particular, users who value a simplified registration process and convenient use will benefit from these offers. Login via Face- book is used by almost 60% of social login users (about 7% of the surveyed users of online services and websites) to log in to online services or websites. As a rule, the re- spondents use 1.2 social login services. However, doubts about the security of these systems are an important reason for many consumers not to access online services or websites via Facebook, Google or other (social) networks. Service providers that